windows 权限简要说明

用户账户相关

1. Administrator（管理员）
   管理员 （Administrator）

   • 内置高权限账户，拥有系统完全控制权，用于高级管理任务，默认情况下可能被禁用。

2. Guest（来宾）

   • 内置低权限账户，用于临时访问，默认禁用，权限极低（如只能访问公共文件夹）。

3. DefaultAccount（默认账户）

   • 系统内部使用的账户，通常与某些默认配置或服务相关，普通用户不可直接使用。

4. WdagUtilityAccount

   • 与 Windows Defender Application Guard（WDAG）相关的账户，用于在隔离环境中运行不受信任的应用程序。

---

安全组相关

5. Administrators（管理员组）

   • 高权限组，成员拥有系统完全控制权，可管理软件、硬件和用户。

6. Access Control Assistance Operators
   访问控制辅助作员

   • 协助管理访问控制的组，权限较低，主要用于支持 ACL（访问控制列表）相关任务，多见于服务器环境。

7. Authenticated Users（经过身份验证的用户）

   • 包含所有通过身份验证登录的用户（不包括 Guest），用于分配通用权限。

8. Everyone（所有人）

   • 包括所有用户（包括未验证用户），常用于设置开放性权限，但在现代 Windows 中默认受限。

9. Users（用户）

   • 普通用户组，权限有限，仅能访问自己的文件和执行基本操作。

10. Guests（来宾组）

    • 包含 Guest 账户及其他低权限用户，权限极低。

11. Local Account（本地账户）

    • 指仅在本地计算机有效的账户，不与域相关。

12. Local Account and Member of Administrators Group（本地账户和管理员组成员）

    • 指既是本地账户又是 Administrators 组成员的用户，具有管理员权限。

13. Backup Operators（备份操作员）
    Backup Operators（备份作员）

    • 可执行备份和还原操作，能访问所有文件但不具备完全管理权限。

14. Cryptographic Operators（加密操作员）
    Cryptographic Operators（加密作员）

    • 可执行与加密相关的任务（如管理证书），权限限于加密操作。

15. Device Owners（设备所有者）

    • 拥有设备控制权的用户或组，通常与硬件管理相关。

16. Distributed COM Users（分布式 COM 用户）
    分布式 COM Users（分布式 COM 用户）

    • 可激活和运行分布式 COM（组件对象模型）对象，用于特定应用程序通信。

17. Hyper-V Administrators（Hyper-V 管理员）
    Hyper-V 管理员

    • 管理 Hyper-V 虚拟化环境的组，拥有运行和配置虚拟机的权限。

18. Network Configuration Operators（网络配置操作员）
    Network Configuration Operators（网络配置作员）

    • 可更改网络设置（如 IP 地址），但不具备完全系统控制权。

19. Performance Log Users（性能日志用户）

    • 可管理和查看性能日志及计数器。

20. Performance Monitor Users（性能监视器用户）

    • 可使用性能监视工具查看系统性能数据。

21. Power Users（高级用户）

    • 早期 Windows 中的组（现已废弃），权限介于普通用户和管理员之间。

22. Remote Desktop Users（远程桌面用户）

    • 可通过远程桌面协议（RDP）登录系统。

23. Remote Management Users（远程管理用户）

    • 可通过远程工具（如 PowerShell 或 WinRM）管理系统。

24. Replicator（复制器）

    • 支持文件复制服务的组，主要用于域环境中。

25. Terminal Server User（终端服务器用户）

    • 与终端服务（如远程桌面服务）相关的用户组。

26. System Managed Accounts Group（系统托管账户组）

    • 包含由系统自动管理的账户（如服务账户）。

---

特殊标识和伪账户

27. Anonymous Logon（匿名登录）

    • 未提供凭据的用户，通常用于网络共享访问，受限严格。

28. Batch（批处理）

    • 通过批处理作业登录的标识，用于运行计划任务。

29. Console Logon（控制台登录）

    • 通过本地物理控制台登录的标识。

30. Creator Group（创建者组）

    • 与创建文件的用户所属组相关联，用于权限继承。

31. Creator Owner（创建者所有者）

    • 表示文件或对象的创建者，权限可动态分配给创建者。

32. Dialup（拨号）

    • 通过拨号连接登录的标识。

33. Interactive（交互式登录）

    • 通过本地或远程交互方式（如键盘或远程桌面）登录的用户。

34. Network（网络）

    • 通过网络访问系统的用户或服务。

35. Service（服务）

    • 以服务身份运行的进程（如后台服务）。

36. Local Service（本地服务）
    本地服务（Local Service）

    • 低权限服务账户，仅限于本地访问。

37. Network Service（网络服务）

    • 服务账户，具有网络访问能力但权限受限。

38. Owner Rights（所有者权限）

    • 表示对象当前所有者的权限，通常用于自定义访问控制。

39. System（系统）

    • 操作系统本身使用的账户，拥有最高权限，用于核心功能。

40. Service Asserted Identity（服务声明的标识）

    • 与服务身份验证相关的特殊标识。

41. Authentication Authority Asserted Identity（身份验证机构声明的标识）

    • 与身份验证提供者（如域控制器）相关的标识。

42. This Organization Certificate（本组织证书）

    • 与组织内的证书身份验证相关。

---

应用程序和 Web 相关

43. All Application Packages（所有应用程序包）

    • 包含所有 UWP（通用 Windows 平台）应用的组，用于控制应用访问权限。

44. IIS_IUSRS

    • IIS（互联网信息服务）的默认用户组，用于运行 Web 应用程序。

45. IUSR
    国际固体分类法

    • IIS 的匿名访问账户，用于处理未经身份验证的 Web 请求。

---

总结

• 权限层级: System > Administrators > 特定功能组（如 Backup Operators） > Users > Guest。
  权限层级 : System > Administrators > 特定功能组（如 Backup Operators） > Users > Guest。

• 用途: 这些账户和组用于分层管理权限，确保安全性和功能性。例如，普通用户（Users）无法修改系统文件，而 Administrators 和 System 可以。

• 特殊标识: 如 Creator Owner、Service 等是动态应用的，用于特定场景下的权限分配。